Contact
Line : comsiam
Windows LAPS คือระบบที่ช่วยจัดการรหัสผ่าน Local Administrator ของเครื่อง Windows แบบอัตโนมัติและปลอดภัย
ปัญหาใหญ่ของหลายองค์กรคือ:
ใช้ Password Local Admin เหมือนกันทุกเครื่อง
หาก Hacker ได้ Password เครื่องเดียว:
อาจลามทั้งองค์กรได้ทันที
ดังนั้น Microsoft จึงพัฒนา Windows LAPS เพื่อ:
- สุ่ม Password ใหม่อัตโนมัติ
- เก็บ Password ไว้ใน Active Directory
- Rotate Password ตามเวลา
- ลดความเสี่ยงจาก Lateral Movement
บน Windows Server 2025 และ Windows 11 สามารถใช้ Windows LAPS ได้ทันที และเป็น Security Best Practice ที่ทีม comsiam แนะนำอย่างมากสำหรับองค์กรยุคใหม่
บทความนี้จะสอนการใช้งาน Windows LAPS แบบละเอียด พร้อมแนวทางใช้งานจริงในองค์กร
① Windows LAPS คืออะไร
LAPS ย่อมาจาก:
Local Administrator Password Solutionใช้สำหรับ:
จัดการ Password Local Admin อัตโนมัติ
② ปัญหาที่ LAPS ช่วยแก้
หลายองค์กรใช้:
admin123เหมือนกันทุกเครื่อง
หากเครื่องเดียวโดน Hack:
อาจลามทั้ง Domain
③ Windows LAPS ทำงานอย่างไร
LAPS จะ:
- สุ่ม Password ใหม่
- เปลี่ยนอัตโนมัติ
- เก็บ Password ใน AD
- Rotate ตาม Policy
④ Windows LAPS กับ LAPS รุ่นเก่าต่างกันยังไง
Legacy LAPS
ต้องติดตั้งเพิ่ม
Windows LAPS
Built-in ใน Windows รุ่นใหม่แล้ว
⑤ สิ่งที่ต้องมี ก่อนใช้ Windows LAPS
ต้องมี:
- Active Directory
- Windows Server 2025
- Windows 11 รุ่นใหม่
- Group Policy
⑥ วิธีอัปเดต Schema สำหรับ LAPS
เปิด PowerShell แบบ Admin บน DC
ใช้:
Update-LapsADSchema⑦ วิธีให้ Computer มีสิทธิ์เขียน Password
ใช้:
Set-LapsADComputerSelfPermission -Identity "OU=Computers"⑧ วิธีกำหนดสิทธิ์ให้ Admin อ่าน Password
ใช้:
Set-LapsADReadPasswordPermission -Identity "OU=Computers" -AllowedPrincipals "IT Admins"⑨ วิธีเปิด Group Policy Management
เปิด:
gpmc.msc⑩ วิธีสร้าง GPO สำหรับ Windows LAPS
สร้าง GPO ใหม่ เช่น:
Windows LAPS Policy⑪ Path สำหรับตั้งค่า LAPS
ไปที่:
Computer Configuration
> Policies
> Administrative Templates
> System
> LAPS⑫ วิธีเปิด Enable Password Backup
เปิด:
Enable password backup for DSRM accountsและ:
Backup Directory → Active Directory⑬ วิธีตั้ง Password Complexity
ตั้ง:
- Length
- Complexity
- Rotation
แนะนำ:
Length: 14+⑭ วิธีตั้ง Password Age
แนะนำ:
30 Daysหรือ:
องค์กร Security สูงอาจใช้ 7–14 วัน
⑮ วิธี Force GPO
ที่ Client ใช้:
gpupdate /force⑯ วิธีตรวจสอบว่า LAPS ทำงานหรือยัง
ใช้ PowerShell:
Get-LapsADPassword -Identity PC01⑰ วิธีดู Password ผ่าน ADUC
เปิด:
Active Directory Users and Computersดู Attribute ของ Computer
⑱ วิธีตรวจ Event Log ของ LAPS
เปิด:
Event Viewerดู:
Applications and Services Logs
> Microsoft
> Windows
> LAPS⑲ วิธี Rotate Password ทันที
ใช้:
Reset-LapsPassword⑳ วิธีใช้ LAPS กับ Laptop นอกบริษัท
Windows LAPS รองรับ:
- Hybrid
- VPN
- Remote Device
หาก GPO Apply ได้
㉑ Windows LAPS เก็บ Password ที่ไหน
นิยมเก็บ:
- Active Directory
- Microsoft Entra ID
องค์กร On-Premise มักใช้ AD
㉒ วิธีป้องกันไม่ให้ทุกคนอ่าน Password
สำคัญมาก
ต้องกำหนด:
Read Permission
เฉพาะ IT ที่เกี่ยวข้องเท่านั้น
㉓ ปัญหาที่พบบ่อย
Password ไม่ Rotate
สาเหตุ:
GPO ไม่ Apply
อ่าน Password ไม่ได้
สาเหตุ:
Permission ไม่พอ
Computer ไม่ Backup Password
สาเหตุ:
Schema ยังไม่อัปเดต
㉔ แนวทาง LAPS ที่ดีสำหรับองค์กร
แนะนำ:
- Rotate ทุก 30 วัน
- จำกัดสิทธิ์อ่าน Password
- Audit Event
- ใช้ Password ยาว
หลายองค์กรยังใช้ Password Local Admin เดิมทั้งบริษัท ซึ่งทีม comsiam มองว่าเสี่ยงมาก
㉕ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ใช้ Password เดียวทุกเครื่อง
- ให้ทุกคนอ่าน Password ได้
- ไม่ Rotate Password
- ปิด Event Logging
㉖ Windows LAPS กับ Password Manager ต่างกันยังไง
LAPS
จัดการ Local Admin ของ Windows
Password Manager
เก็บ Password ทั่วไป
หลายองค์กรใช้ทั้งคู่
㉗ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- ใช้ Windows LAPS ทุกเครื่อง
- จำกัดสิทธิ์ IT
- Rotate Password อัตโนมัติ
- Audit การอ่าน Password
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน
㉘ สรุป
Windows LAPS เป็น Security Feature สำคัญบน Windows Server 2025 ที่ช่วยจัดการ Password Local Administrator อย่างปลอดภัย
ข้อดี:
- Password ไม่ซ้ำกัน
- Rotate อัตโนมัติ
- ลดความเสี่ยงจาก Lateral Movement
- เก็บ Password ใน AD ได้
โดยเฉพาะองค์กรที่มีเครื่องจำนวนมาก Windows LAPS ถือเป็น Security Best Practice สำคัญของ Enterprise IT ยุคใหม่
